Уязвимость подмены оболочки Windows уже эксплуатируется и угрожает конфиденциальным данным

Уязвимость, оставшаяся после февральского патча для zero-day, уже используется атакующими, а медленные циклы обновления в госструктурах и компаниях играют им на руку.

Microsoft и Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) предупредили об уязвимости подмены оболочки Windows, которая уже эксплуатируется злоумышленниками. Пока неясно, кто именно стоит за атаками, однако основными подозреваемыми считаются хакеры из России.

CISA обязало все федеральные ведомства устранить уязвимость, получившую обозначение CVE-2026-32202, до 12 мая. По данным уведомления Microsoft, эксплуатация этой ошибки может привести к доступу к конфиденциальным данным, но захватить управление системой атакующие не смогут.

Вместе с тем один эксперт по безопасности предупредил, что значительный разрыв между моментом, когда Microsoft обнаружила ошибку, и сроком обязательного устранения повышает риск.

The patch gap

Лионель Литти, CISO в компании Menlo, заявил, что проблему усугубляет неполный патч для CVE-2026-21510, из-за которого и появилась ошибка, отслеживаемая как CVE-2026-32202. «Это повторяется уже много лет. Уязвимость существует, а вендор недостаточно тщательно с ней разбирается, поэтому небольшое отклонение оказывается не полностью закрытым. Обычно они устраняют основную уязвимость, но остаются побочные эффекты». В результате до выпуска нового обновления полный фикс задерживается еще сильнее.

Главная проблема, по словам Литти, — так называемый patch gap. Сначала есть разрыв между моментом, когда вендоры находят уязвимость, и моментом выпуска патча, а затем возникает еще один разрыв между выходом патча и завершением обновления в организациях. Например, если обновление прерывает работу пользователей, они могут не спешить его устанавливать. «На нашей платформе мы видим, что многие пользователи не обновляются неделями, а то и месяцами», — сказал он.

Он отметил, что сами вендоры действуют эффективно. Но, по его словам, «как CISO я должен решить, сколько неудобств причинить нашим пользователям».

A difficult balance

Эрик Авакиан, технический консультант Info-Tech Research Group, отметил, что при назначении срока исправления CISA действовало в рамках правил, закрепленных в Binding Operational Directive (BOD) 22-01. Этот документ требует от федеральных ведомств США устранять уязвимости в сроки, предусмотренные политикой, — от 14 до 21 дня.

«В случаях высокого риска эксплуатации CISA может сократить срок до трех дней», — сказал он. «Но в случае CVE-2026-32202 оценка CVSS составила 4,3, и хотя уязвимость активно эксплуатируется, этот рейтинг не достигает порога политики для более быстрого цикла исправления. В этом случае CISA выделило 14 дней, что соответствует его агрессивному стандарту сроков, основанному на рейтинге вендора».

По его словам, действительно можно утверждать, что 14-дневное окно на устранение уязвимости, которая активно эксплуатируется в реальной среде, слишком велико. Но он предположил, что в данном случае ее не перевели в режим экстренной директивы по обновлению, который потребовал бы всего 48–72 часов на исправление, из-за оценки Microsoft, а также ряда других факторов.

Авакиан объяснил свою логику: «Во-первых, организации могут снизить риск без полного патча, заблокировав определенные порты для трафика на периметре межсетевого экрана», — сказал он. «Такая мера помогает уменьшить риск, пока тикает 14-дневное окно обновления. Более длинный срок дает тестировщикам дополнительное время, чтобы проверить, корректно ли патчи применяются в test/staging-среде, прежде чем выкатывать их в production».

Во-вторых, сказал он, «быстро пропатчить системы — это одно, а делать это в спешке — совсем другое, потому что это несет риск непреднамеренно сломать критические системы и приложения, если что-то пойдет не так или если патч не был должным образом протестирован».

Авакиан согласился, что перед CISO стоит сложная задача: им приходится взвешивать риск и стабильность систем.

И, как отметил Литти, ситуация постоянно меняется; появление AI создаст еще больше проблем в будущем. «Мы видим, что разрыв сокращается по мере того, как AI становится частью проблемы», — сказал он, добавив, что использование AI позволяет людям с меньшими техническими навыками быстрее эксплуатировать системы, поэтому CISO не должны исходить из того, что сложные атаки обязательно идут от государств. Чтобы справиться с этим, организациям нужно менять мышление.

«Больше нельзя неделями тестировать обновление, а затем внедрять его: нужно делать все гораздо быстрее», — сказал он.

Оригинал статьи опубликован на CSOonline.

Материал — перевод статьи с английского.

Оригинал: Windows shell spoofing vulnerability puts sensitive data at risk